Tecnozona 2.0 » Vulnerabilidades

Otra actualización para Firefox (viene movida la quincena)

Ricardog — Fri, 23 Jul 2010 00:13:54 +0000

(Por El Microsaurio) Apenas pasaron 25 días desde la última actualización, y los muchachos del zorrito sacaron el Firefox 3.6.7, que soluciona once vulnerabilidades de seguridad, de las cuales cinco fueron calificadas como “críticas”, y las otras… no son una pavada, precisamente…

Por lo menos, los muchachos tienen reflejos rápidos. Alguien les avisa de una posible vía de ataque, la verifican, sacan el parche. En este caso se trata de una cantidad de fallas de programación que dan lugar a otras tantas puertitas para los malintencionados de siempre.
Es muy interesante observar qué resquicios revisan los investigadores. Te doy algunos ejemplos:
Dos especialistas informaron que encontraron tres maneras distintas de falsear el aspecto o el contenido de la Barra de Direcciones; en resumen, vos creés que estás en un website, pero te llevaron a otro. En uno de los casos, se podía falsear la indicación de “sitio seguro”. ¿Vos creías que estabas pagando tu pizza con la tarjeta y estaba todo bien…?
Otro caso toca el tema de los websites que usan caracteres latinos, cirílicos, orientales o centroeuropeos. Habrás visto que a veces, tanto en Firefox como en Thunderbird, aparecen signos extraños en lugar de un acento, o directamente “?????” en la ubicación de una palabra en chino, digamos.
Pues se ha encontrado la manera de poner en un nombre de website un carácter especial (no diré cuál) que fuerza a tu navegador a eliminar los caracteres que vienen detrás. Por lo tanto, se podría generar un nombre como “Banco Importante.te afano.com” y el navegador mostraría “Banco Importante”, mientras realmente vos estás visitando alegremente el website “te afano.com”. Muy ingenioso.
Meter código dentro de una imagen “convenientemente modificada” es tema viejo. En otro caso, vos mirás la imagen y baja escondido el malware. La novedad de este mes: preparar convenientemente una imagen PNG de tal manera que el atacante logra tomar posesión de la memoria de la PC atacada, y desde allí… bueno, imaginate.
Y dejamos fuera de las descripciones detalladas los nuevos ataques a través de JavaScript, o el robo de datos cuando tenés más de una página web abierta… Sí, eso de estar mirando el Gmail mientras en otra pestaña te paseás por las páginas porn… digo, las planillas de la compañía.
En total, en esta versión se solucionaron 123 de los 126 “bugs” informados a Mozilla. Ahí están incluidos los de seguridad, claro.
Así que actualizá, y navegá con cuidado.

No, Adobe no nos está cargando, se demora, nomás

Ricardog — Tue, 15 Jun 2010 02:26:04 +0000

(Por El Microsaurio) Cortito y para aclarar: hubo semiparche el jueves pasado ¿Qué es eso de “semiparche”? Pues que te lo solucionan, pero en parte. Y el resto, bueno, no llegaron a tiempo. ¿Será por falta de personal? Enterate de qué es lo que se emparchó, y qué es lo que falta…

Según anunció Adobe en su blog de seguridad, el jueves se publicó un grupo de actualizaciones (léase parches) que solucionarían el problema descubierto en Flash Player 9.0.x y 10.0.x para Mac, Linux y Windows. El nuevo boletín de seguridad salió a las 18 hs de ese día (de BAires), y encontré posteado un “Flash Player 10.1.53.64 for Windows” en otro lado del website de Adobe. Verificá qué versión tenés instalada, y si te cabe, actualizá.
Estos parches para Flash tendrían que formar parte del Recontra Parche Trimestral de Seguridad, que está programado para el 13 de julio de este año, pero como las papas quemaban, los sacaron antes. ¿Las actualizaciones para Adobe Reader y Acrobat para Windows, Mac y Unix? Parece que salen el 29 de junio. A esta altura del partido me pregunto si se rompe tanto código “bueno” al emparchar… ¿Y si lo reescriben desde el vamos?¿O compran un producto de la competencia, como solía hacer Microsoft en las épocas de Bill…? (¡Ayyyy!¡Nooo!¡Con la zapatilla nooo!)

Usuarios Mac de parabienes: parche multitudinario (aunque parcial)

Ricardog — Thu, 10 Jun 2010 23:11:27 +0000

(Por El Microsaurio) Mucho ruido, muchas vulnerabilidades, y algunos olvidos. La primera semana de mayo fue de palos variados para Apple. especialistas de varias empresas dedicadas a la seguridad informática tronaron contra una sarta de fallas de programación de componentes presentes en Safari.
Aclaremos: empresas dedicadas a vender seguridad a sus suscriptores. En criollo, vos me pagás, yo te aviso antes.

Los pelotazos salieron desde empresas como Tipping Point (la que fue comprada en 2005 por 3Com, esa que fue comprada por HP en 2010) a través de un montón de boletines de alarma de su Zero Day Initiative como éste o de avisos como este otro del equipo X-Force de Internet Security Systems (esa que fue comprada por IBM en 2006).
En resumen, se trata de unas cuarenta y ocho fallas de programación, que dan lugar a otras tantas vulnerabilidades. ¿Qué te puede pasar si un desgraciado ingresa a tu preciosa Mac aprovechando alguna de estas puertitas? Que se ejecute código dañino, o que te roben datos importantes, o ambas porquerías a la vez.
Lamentablemente, en muchos casos no hace falta que el sinvergüenza de turno ingrese a tu máquina; bastará con que visites una página web convenientemente “preparada”, ya que (según comenta un especialista de Hispasec) unas cuarenta y cuatro de esas fallas están en el código del motor de navegador para Internet llamado Webkit, que es el empleado por Safari. Así que (¡aplausos!) hay vulnerabilidades que afectan solamente a usuarios Mac, y algunas que también funcionan divinamente en Safari For Windows (incluyendo al blindado Windows Siete…) Tres datos importantes:

Algunas de las fallas no fueron solucionadas, y no hay parche para ellas, como se puede leer en este informe de la empresa Secunia
De acuerdo al US-CERT (entidad dependiente del Gobierno del Norte) conviene deshabilitar JavaScript en el navegador para protegerse de las vulnerabilidades no emparchadas por Apple. Y mencionan como no emparchada una vulnerabilidad de Safari para Windows.
Sección pañuelo para las lágrimas: lo que sí está emparchado, se anuncia en esta página de Apple. El resto, a cantarle a Steve Jobs, que no a Gardel.

Por supuesto, les puse los links porque la información que revisé es mucho, mucho más amplia y detallada. Pero todavía no tenemos formato sábana.

Me parece que Adobe nos está cargando

Ricardog — Thu, 10 Jun 2010 02:21:36 +0000

(Por El Microsaurio) Una falla de once meses sin emparchar. El mensaje del finlandés Juha-Matti era lacónico y preciso: “…los Adobe Reader de PDF para Windows, Mac y Unix están afectados; los Flash Player en versiones 10.0.x también…” Y algo comenzó a sacudirse en mi escamosa mollera. Yo ya había visto esto antes…

Cierto. Apenas visité el website de soporte de Adobe y leí el Aviso de Seguridad APSA 10-01 me agarró el viejazo. “Existe una vulnerabilidad crítica en Adobe Flash Player 10.0.45.2 y versiones anteriores para los sistemas operativos Windows, Macintosh, Linux y Solaris, y el componente que se incluye en Adobe Reader y Acrobat 9.x para los sistemas operativos Windows, Macintosh y Unix (…) esta vulnerabilidad podría causar que el sistema se caiga y que un atacante tome control del sistema afectado (…) hay informes de que esta vulnerabilidad está siendo activamente explotada contra Adobe Flash Player y Adobe Reader y Acrobat (…) este Aviso será actualizado cuando se haya determinado una fecha para publicar la solución…”
¡Cuerno! Es casi lo mismo que publicamos el 23 de julio de 2009, cuando se comentó en todo el mundo que tenía una falla… y encima nos pusimos contentos cuando Adobe informó que el problema estaba solucionado, y así lo anunciamos a nuestros lectores el 3 de agosto de 2009 y ahora me vengo a enterar que el famoso componente ese sigue fallado…
Muchachos de Adobe… ¿cómo puede ser que en versión 8 haya sido emparchado, y la versión 9 y 10 de los productos tiene el que NO está emparchado?
Comienzo a sospechar que no soy el único que desayuna con ginebra…
Resumen: no, por ahora no hay parche. Abrir un PDF con un producto Adobe es peligroso, abrir un Flash con un producto Adobe es peligroso. La empresa recomienda evitar el acceso a , lo cual significa que cuando quieran abrir un PDF que contenga una animación Flash, se podría colgar el equipo o la aplicación. “Evitar el acceso” ¿será “borrar la dll”? No lo aclaran…
Lean el famoso Aviso de Seguridad 10-01 con cuidado, para ver los detalles que no pongo acá. Y a cantarle a Gardel, hasta nuevo Aviso.

Boletines Microsoft de junio: hay para todos los gustos

Ricardog — Wed, 09 Jun 2010 02:19:52 +0000

(Por El Microsaurio) Desde las especialmente graves hasta las leves, hay vulnerabilidades en cantidad y calidad. Todo en diez boletines, diez, y en Windows, Internet Explorer, Office, IIS y otras más. Sentate, callate, agarrate y enterate, parafraseando a mi amigo el camionero. Ah, y una coda dedicada a Safari.

No hay nada mejor que preguntarle a los que saben. En este caso, a Jerry Bryant, del Microsoft Security Response Center, y a Kevin Brown, David Ross, Bruce Dang, Brian Cavenah y Jonathan Ness, del equipo de ingeniería de Microsoft Security Research and Defense. Los mencioné a todos porque el laburo que hicieron es extenso, y alguna palmadita aprobatoria se merecen.
Eso sí, a los programadores de la empresa que cometieron los errores de código que luego se han convertido en vulnerabilidades, les regalaría un ticket de ingreso al infierno…
Vamos al resumen.

Diez boletines, numerados del 032 al 041; treinta y cuatro vulnerabilidades, que afectan a todos los Windows actualmente en uso, a Office (para Windows y Mac) y SharePoint, a Internet Information Services, a los Internet Explorer y a diversos componentes de Punto Net.
Los más graves (o sea, “críticos”) son éstos:

MS10-033–> Fallas en componentes de DirectShow o Media Encoder 9 presentes en diferentes versiones de Windows. El ataque se produce al abrir un archivo multimedia especialmente modificado.
MS 10-034–> Actualización de componentes de ActiveX, para todas las versiones de Windows. La vía de ataque podría ser un control ActiveX malicioso en una página web.
MS 10-035–> Se solucionan seis vulnerabilidades de diferentes versiones de Internet Explorer, incluyendo IE 8. Una de las vulnerabilidades ya ha sido publicada en la Internet (nota: vos ya sabés qué significa eso, ¿verdad?)

En caso de aplicar los parches manualmente, estos tres serían los primeros.
De los siete calificados como “importantes”, cinco están marcados para descargarlos en segundo lugar:

MS10-032–> Muy curioso e interesante. Son tres fallas en drivers del Kernel de Windows relacionadas con la utilización de fuentes TrueType. Pero atención con esta frase: “…ninguna aplicación de Microsoft expone un vector remoto, pero algunas aplicaciones provistas por terceros podrían abrir archivos de fuentes especialmente modificadas, y exponer estas vulnerabilidades de manera remota y anónima…” Si unimos esto a la costumbre de buscar en Internet fuentes tipográficas gratarola, y bajarlas de donde sea sin preguntar demasiado… bueno, estamos en problemas.
MS10-036–> La vulnerabilidad está en código de Office que valida incorrectamente un objeto COM, y los afectados son Word, Excel, PowerPoint, Visio y Publisher, en todas las versiones menos Office 2010 y Office for Mac. Vector de ataque: un archivo que llegue adjunto a un email.
MS10-038–> Catorce vulnerabilidades en Excel (sí, ¡catorce!) en sus versiones para Office XP, 2003, 2007 y Office for Mac 2004 y 2008. El ataque se dispara al abrir un archivo arteramente modificado.
MS10-039–> El esperado parche para las tres vulnerabilidades descubiertas en SharePoint. Ojo que ya se publicó en la Internet una Prueba de Concepto explicando cómo efectuar un ataque…
MS10-040–> Se cubre una falla en Internet Information Services, versiones 6.0, 7.0 y 7.5 que corran sobre Windows Server 2003 y 2008 o en Windows Vista y Windows 7. No están afectados Windows 2000 y Windows XP, sobre los cuales corren IIS 5 o 6, según el caso.

Los que podrían descargarse e instalarse en tercer lugar son:

MS10-037–> Otro problema relacionado con un driver de fuentes tipográficas, en este caso el de OpenType Compact Font Format. La víctima debería abrir un documento donde se haya utilizado una fuente especialmente modificada. Según dicen en Microsoft, no se puede usar para un ataque remoto. Productos afectados: Windows 2000, XP, Vista, Windows 7, Server 2003 y Server 2008. No, MS-DOS 6.22 no está afectado, Windows 3.11 tampoco.
MS10-041–> Se trata de una vulnerabilidad en Punto Net. Esta falla podría permitir la modificación de datos incluidos en contenido XML firmado, sin que esa alteración sea detectada. Versiones afectadas: Microsoft .NET Framework 1.0, 1.1, 2.0, 3.5 y 3.5.1, en determinados casos (miren el boletín específico). Las versiones 3.0 y 4.0 no están afectadas.

Este es un resumen-resumen, y los detalles específicos habrá que buscarlos (no faltaba más) en las fuentes. Todas las observaciones las comparé con los comentarios de los especialistas que mencioné ahí arriba y con el contenido de los boletines en inglés, que están en esta dirección de Microsoft.
En la web de Microsoft Latam, los boletines en español están acá.
Curiosamente, en la web de Microsoft España el boletín-resumen tenía links que llevaban a los boletines en inglés, así que… gracias, gente de Microsoft Latam…
Mis mejores deseos de feliz instalación, queridos/as admin, y espero que no se rompa nada en ningún servidor.
Respecto a los parches para Safari, queridos amigos maqueros, estoy digiriendo aún el boletinazo (se habla de unas 48 fallas de seguridad, que funcionan en Windows y en Mac OS X) y mañana les cuento.